Top.Mail.Ru

Цифровая безопасность

Защита информации это одна из ключевых потребностей компании. Как бизнесу обеспечить безопасность критических данных и процессов?
Александр ГрищенковПродакшн Директор
Дата20 сентября 2022
Оправить заявку на аудит цифровой безопасности

Политическая ситуация, блокировка и уход многих сервисов, которые, как казалось, будут доступны вечно, сильно встревожили, уже доставили хлопот и заставляют задуматься о рисках и технологическом суверенитете уже собственного бизнеса. Не претендуя на глубокий экспертный анализ, поскольку более-менее крупные компании уже могут позволить себе команду специалистов, предлагаю быстро пройти «по верхам» уязвимости типичных цифровых активов микро- и малого бизнеса.

Сайт

Веб-сайт, даже если он создан на конструкторе (например популярной «Тильде»), состоит из нескольких компонентов инфраструктуры, которые нужно проверить отдельно.

Домен — это собственно имя вашего сайта, по которому его можно найти в Интернет вида example.com. Если случилось так, что его имя зарегистрировано за пределами РФ, достаточно оперативно нужно начать процесс переноса к российским регистраторам доменных имён (nic.ru, reg.ru etc.). Процесс это небыстрый, а проблемы с оплатой или блокировкой аккаунта иностранным регистратором могут быть неожиданными. Обычно, домен оплачивают на год и даже более и забывают. Эта ситуация даже в мирное время чревата проблемами, через пять лет найти кто-куда платил и где доступы становится нетривиальной задачей.

Хостинг. Как ни удивительно, хостинг (то есть сервер на котором расположен сайт) не имеет никакого отношения к домену, да конечно многие регистраторы продают заодно и хостинг, а многие хостеры торгуют по партнёрке и доменами, но это отдельный сервис и нужно убедиться, что он также расположен в РФ, если только вы не намеренно разместили его за пределами РФ (например поближе к вашим клиентам), в этом случае, советуем убедиться, что у вас корректно настроено резервное копирование данных (бекапы), о котором чуть позже.

Сайт на конструкторе. Часто сайт, а ещё чаще лендинг или посадочная страница сделаны на конструкторе, который удобно совмещает в себе и систему управления контентом, и хостинг, и управление доменом. Если сайт сделан на популярной в России «Тильде», то пока беспокоиться не будем, в оферте указан ИП Никита Обухов, сервера находятся в РФ, юрисдикцией сервиса тоже является РФ, надеемся, что так оно и останется. Но если ваш сайт или лендинг использует зарубежный конструктор (Wix, Squarespace, Shopify), то вы рискуете, причём не только в случае блокировки со стороны самих платформ, но и например в случае блокировки инфраструктуры, которую они используют, например многие сервисы используют серверные решения от AWS от Amazon или CloudFlare для обеспечения безопасности. В случае проблем с этими сервисами, существует угроза и для вашего сайта. Поэтому, мой вам совет: подумайте о переносе сайта в домашний регион, что, с помощью специалиста, вполне выполнимая вещь.

Почта — Очень важный сервис, который нужно проверить. Это ещё одна сущность, которая хоть и связана с доменом, но является самостоятельным сервисом. Если вы, как многие (в том числе и мы в Molinos) настроили Яндекс Почту для своего домена, то пока волноваться не о чем (хотя новые домены в Яндексе уже только за деньги), так же всё в порядке, если у вас есть собственный почтовый сервер в юрисдикции РФ. Но если для вашего домена настроен почтовик от Google или от другого иностранного сервиса, то есть риск и нужно принимать меры.

Файлы в облаках Dropbox, Google Disk, OneDrive (Microsoft) — это всё кандидаты на замену. Неплохих альтернатив у нас много, основные это конечно Яндекс.Диск и Облако (Mail.ru). Если только вы не настроили хитрых интеграций и автоматизаций, то немного привыкнув разницы вы не заметите.

Конечно самое трудное — это отказаться от Google Docs, альтернатива Яндекс.Документы, к сожалению, нам совсем не приглянулась. Поэтому я советую продолжать пользоваться документами, но обязательно периодически делать бекапы, как на личном уровне, так и на уровне организации.

Александр Грищенков CTO, Molinos

Сделайте это прямо сейчас:

Скачайте себе на локальный диск данные своего Гугл-аккаунта. Инструкция от Google тут: https://support.google.com/accounts/answer/3024190?hl=ru

Вы сможете выбрать, какие именно данные скачивать. Я выбрал себе содержание Google Drive и почты Gmail, у меня в личном аккаунте в совокупности получилось 6 ГБ архивов, пусть лежат. Документы и таблицы скачиваются в формате документов Майкрософт, так что с редактированием проблем не будет.

Бекапы (резервные копии)

Обязательным процессом в компании должна быть проверка рутин резервного копирования, отсутствие копий может сильно ударить не только в случае блокировок, но и в случае аварий и сбоев. Поэтому, в отношении всего выше перечисленного, что можете сделайте сами (как в случае с Google документами), а для чего не сможете, обратитесь к специалистам, даже сайт на конструкторе можно скопировать себе на диск или хранилище в формате html, на случай отказа сервиса (что тоже вполне себе возможно, никто не гарантирует 100% надёжности).

Пароли

Стратегия хранения паролей — одна из самых чувствительных тем инфобезопасности бизнеса, к сожалению часто это самое слабое место через которое происходят утечки. Связанно это с тем, что тут наиболее тесно пересекается личная и корпоративная цифровая гигиена, а освоение базовых навыков работы с инструментами требует некоторых усилий пользователя. Решения по хранению паролей (исключая метод записи на стикере на рабочем столе), можно разделить на три вида:

  • Встроенные в операционные системы и браузеры менеджеры паролей (например Apple Keychain или Google Password Manager)
  • Специализированные сервисы для хранения паролей с облачной архитектурой (1password, Bitwarden)
  • Решения позволяющие развернуть приложение на собственном сервере для совместной работы и работать через плагины в браузере (например Passbolt).

С точки зрения безопасности, для бизнеса предпочтителен последний вариант, он же является самым сложным — потребуется квалифицированный человек для установки и поддержки серверного решения и помощи по внедрению его у пользователей. Все остальные варианты, к сожалению, в текущей ситуации выглядят ненадёжными — какой бы фантастической не казалось мысль об отключении Apple аккаунтов, вероятность сейчас отлична от нуля, что в свете возможного ущерба уже много. Компромиссным решением для себя лично, я выбрал Bitwarden, который в отличие от 1password, продолжает работать для пользователей из России и является Open Source проектом, что даёт надежду, что даже в худшем случае у разработчиков будет возможность сделать т.н. форк и продолжить работу.

Оцените, кстати, степень «надёжности» облачных решений, на примере 1password — сервис просто отказался работать с пользователями из РФ, делайте выводы.

Корпоративно мы используем Passbolt на собственном сервере, что решает проблему блокировок.

VPN

Последний в нашем списке пункт VPN позволит пока получить доступ к ресурсам заблокированным как изнутри, так и извне. Да, да, многие сервисы любезно сообщают, что для пользователей из России они больше не доступны. Если всё же есть острая потребность ими пользоваться, то VPN должен в этом помочь.

Нужно понимать, что VPN это по сути ваша персональная тропинка напрямую к серверу где-то вне РФ, через который вы получаете доступ к сети Интернет. Т.е. если вы хотите выглядеть как немецкий пользователь сервер физически должен находиться в Германии. Многие популярные сервисы VPN (напр. NordVPN) предоставляют возможность выбрать страну, через которую пойдёт трафик, но бывают случаи, когда этого не достаточно, например мы столкнулись с необходимостью иметь статический IP адрес для некоторых задач, чего тот же NordVPN предоставить не может. В этом случае хорошим и дешёвым решением будет аренда виртуальной машины в каком-то облаке (например Digital Ocean) и разворачивании там VPN сервиса, стоимость аренды минимальной конфигурации на Digital Ocean — $5, плюс какие-то усилия администратора по разворачиванию сервера.

Обратиться к экспертам Molinos
Александр ГрищенковCTO, Molinos
Александр ГрищенковCTO, Molinos

Безусловно, цифровая безопасность бизнеса - первоочередной вопрос, но вы не должны разбираться в нем сами. При необходимости, по всем перечисленным вопросам, мы в Molinos сможем вам помочь в рамках услуги Техническая Поддержка бизнеса.

Ваше имя
Ваш телефон
Ваш e-mail
Отправляя свои данные, вы соглашаетесь на обработку персональных данных в соответствии с Политикой конфиденциальности.
Интересное из мира Digital

Свежие статьи из мира Digital

25 минут на прочтение
Как управлять командой digital-специалистов? Большой путеводитель от руководителя
Чтобы и клиент был доволен, и сотрудники не выгорели. Рассказывает Маша Филиппова — руководитель отдела клиентского сервиса.
Руководитель отдела клиентского сервиса
15 минут на прочтение
Что такое UX и UI-дизайн? Как провести юзабилити-аудит сайта? Чек-лист от Molinos
Как оценить, насколько сайт удобен для пользователя? И что такое удобство, когда мы говорим о сайте? Рассказываем, что такое UX и UI, а также делимся чек-листом, который поможет сделать сайт эффективнее.
9 минут на прочтение
Как визуализировать проект для заказчика: что такое мудборд и как его создать?
Как сделать и оформить мудборд для бренда заказчика, а также приложения для создания мудборда и советы от наших дизайнеров.
17 минут на прочтение
Как работать с Яндекс.Вордстат и чем новая версия лучше старой?
Полезный гайд по Вордстату, который научит эффективно подбирать ключевые слова и использовать возможности инструмента на 100%.
SEO-специалист
16 минут на прочтение
Как провести анализ сайта конкурентов — на что смотреть и какие сервисы использовать
Все новое — хорошо изученное и переосмысленное старое.
SEO-специалист
14 минут на прочтение
Как сделать продающее коммерческое предложение
Рассказываем, как составить горячее коммерческое предложение и что писать в кп, если вы маркетолог или агентство.
Исполнительный директор
9 минут на прочтение
Что такое дашборды и как они помогают в работе
Рассказываем, что такое дашборды, чем они полезны и как их используют наши маркетологи в работе.
Senior специалист по контекстной рекламе
10 минут на прочтение
Видеореклама без YouTube: какие возможности остались в России?
Где сейчас эффективно запускать видеорекламу — обзор площадок, форматов и цен.
Руководитель отдела performance
11 минут на прочтение
Как провести аудит магазина на маркетплейсе: краткий чек-лист
Рассказываем из чего состоит аудит и делимся простым чек-листом с вопросами, которые помогут ничего не упустить.
Специалист по контекстной рекламе
20 минут на прочтение
Как маркировать рекламу у блогеров: подробный гайд
Как маркировать рекламу у блогеров и в сообществах, какие особенности есть у разных соцсетей и форматов контента — рассказываем в нашей статье.